Globalna potreba za dizanjem kompetencija i prekvalifikacija te dodatna edukacija stručnjaka u području kibernetičke sigurnosti bile su teme o kojima se razgovaralo na Konferenciji o kibernetičkoj sigurnosti koju je organiziralo Sveučilište Algebra povodom nove Uredbe o kibernetičkoj sigurnosti. Na konferenciji održanoj 11. listopada okupili su se stručnjaci i predstavnici industrije koji su zajednički razmijenili iskustva, znanja i perspektive o novim zakonskim okvirima koji reguliraju kibernetičku sigurnost.
Uredba o kibernetičkoj sigurnosti koja se donosi temeljem Zakona o kibernetičkoj sigurnosti upućena je 8. listopada na e-savjetovanje. Njome su, između ostalog, propisana mjerila za kategorizaciju subjekata i mjere odnosno kontrole koje će obveznici morati implementirati kao i kriteriji za obavještavanje o važnim incidentima. U tom procesu, nakon što subjekti budu od nadležnog tijela obaviješteni kojoj kategoriji pripadaju i koje se mjere na njih primjenjuju, vrlo je bitno razumijevanje opsega implementacije pojedinih mjera uz prethodno provođenje procjene (gap analize) trenutne razine zrelosti primijenjenih mjera i onih koje pojedini poduzetnik treba primijeniti uz planiranje adekvatnog budžeta za implementaciju pojedinih mjera.
Najveća prijetnja i dalje su nedovoljno educirani ljudi
“S obzirom na stalni napredak tehnologije, kibernetičke prijetnje postaju sve sofisticiranije i teže ih je prepoznati. Današnji napadi mogu uključivati visoko sofisticirane metode poput ‘zero-day’ eksploita, koji koriste ranjivosti u softveru koje još nisu poznate niti otklonjene od strane proizvođača. Osim toga, koristi se i napredni phishing koji cilja specifične pojedince kroz prilagođene poruke koje izgledaju izuzetno uvjerljivo. Tehnike socijalnog inženjeringa također su napredovale; napadači provode temeljite pripreme kako bi svoje metode učinili što efikasnijima. Najveće prijetnje nam i dalje dolaze od samih ljudi koji nisu dovoljno educirani pa čine greške“, istaknuo je uvodno Robert Petrunić, predavač na novopokrenutom Studiju kibernetičke sigurnosti Sveučilišta Algebra.
Irena Weber, glavna direktorica HUP-a, otvorila je konferenciju, a u uvodnoj je riječi naglasila perspektivu poduzetnika u digitalnoj transformaciji i razvitku kibernetičke sigurnosti: “Više se o kibernetičkoj sigurnosti ne razmišlja samo u sklopu IT sektora, već puno šire. HUP je sudjelovao u izradi zakona kako bi pomogli kompanijama i cijelom gospodarstvu. Odredbe pomažu poduzetnicima da prilagode poslovanje i osiguraju sigurnu digitalnu budućnost za sve. Novi zakon o kibernetičkoj sigurnosti donosi brojne obveze, ali i mogućnosti. Uvođenjem veće razine sigurnosti, naše kompanije imaju priliku osigurati povjerenje klijenata te postati konkurentnije na globalnom tržištu. Zakon nam daje svima mogućnosti za daljnji rast, a ova konferencija i dodatne edukacije na temu kibernetičke sigurnosti su velik i važan korak u dobrom smjeru te vjerujem da će osigurati sigurnu budućnost za sve nas”.
Nacionalni centar za kibernetičku sigurnost
Zakonom o kibernetičkoj sigurnosti uspostavljena je funkcionalnost središnjeg državnog tijela za kibernetičku sigurnost, čije zadaće će obavljati SOA. U te svrhe postojeći Centar za kibernetičku sigurnost SOA-e transformirat će se u Nacionalni centar za kibernetičku sigurnost (NCSC-HR). Aleksandar Klaić iz Centra za kibernetičku sigurnost SOA-e osvrnuo se na otkrivanje, rano upozorenje i zaštitu od kibernetičkih napada te predstavio plan razvitka te osvještavanja šire populacije o kibernetičkoj sigurnosti.
“Zbog ozbiljnosti cijelog procesa treba sve popratiti na novi organizacijski način u kojem će nam pomoći doneseni zakon. SOA će se u narednim tjednima i mjesecima fokusirati na srž problema, odnosno na nedovoljnu svijest o rizicima kibernetičke sigurnosti. Doduše, to ne vrijedi samo za Hrvatsku ili EU, već o većini država svijeta. Moramo sagledati cijeli regulativni okvir. Čeka nas veliki posao, no rokovi su liberalno postavljeni, ne zato kako ne bi radili, nego kako bi razvili kulturu upravljanja rizicima te kako bi podigli razinu zrelosti kibernetičke sigurnosti u svim ključnim segmentima, bili oni državni ili privatni subjekti”, objasnio je Klaić i dodao da MORH i MUP daju potporu. Naime, MORH ima važnu ulogu vojnog, odnosno, obrambenog dijela, a MUP suzbija kibernetički kriminal.
“Proces mora završiti u travnju 2025. jer tada moramo imati inicijalni popis za Europsku komisiju. Inicijalna kategorizacija bit će provedena najkasnije do ožujka 2025. Do tada ćete primiti obavijest o kategorizaciji i tada kreću obveze za poduzetnike. Nakon travnja 2025. slijedi implementacija mjera u subjektima u roku od godinu dana. Imali ste godinu dana za proučavanje Zakona i sad imate još godinu dana za provedbu mjera. Rokovi nisu jako nategnuti, liberalni su, jer očekujemo partnerski odnos cijelog društva. Mjere i kazne moraju biti propisane jer zakon nije ništa nego sigurnosna politika”, poručio je Klaić okupljenim poduzetnicima, dodajući da će rast gospodarstva, ako se navedene mjere ne provedu, biti nemoguć.
Samoprocjena kibernetičke sigurnosti
Krešimir Šipek iz Zavoda za sigurnost informacijskih sustava govorio je o samoprocjeni kibernetičke sigurnosti. Samoprocjena kibernetičke sigurnosti u ključnim subjektima može se provoditi kao priprema za provedbu revizije kibernetičke sigurnosti. Potrebno ju je provoditi najmanje jednom u dvije godine uz pomoć internih resursa ili vanjskih pružatelja usluga. Samoprocjena je ključna za uspostavljanje sustavnog upravljanja rizikom na razini organizacije, boljeg poznavanja i zaštite vlastite IT infrastrukture te razvijanja svijesti o kibernetičkoj sigurnosti kod zaposlenika, ali i jačanja otpornosti čitavog digitalnog društva što je jedna od ključnih stavki NIS2 direktive.
Marina Dimić Vugec iz Nacionalnog CERT-a pojasnila je ulogu Pixi platforme preko koje se prijavljuju incidenti i prijetnje te razmjenjuju informacije na nacionalnoj i europskoj razini. Istaknula je da je osnovni cilj novog Zakona usklađenje razine otpornosti zemalja članica EU na kibernetičke prijetnje.
Na panelu o vještinama sudjelovali su Ivona Loparić, konzultantica za informacijsku sigurnost, Diverto; Goran Car, izvršni direktor, Combis; Andro Galinović, izvršni direktor za sigurnost informacijskih sustava, Infobip; Bruno Pavić, stručnjak za sigurnost i obavještajna pitanja iz ProForca, i Robert Petrunić, predavač na Studiju kibernetičke sigurnosti Sveučilišta Algebra.
Edukacija je nužna svima
Na panelu je zaključeno da je potrebno prvo educirati šire društvo, zatim predstavnike industrije, a naposlijetku i same kibernetičke stručnjake jer danas je jasno da je nužno obratiti puno veću pažnju ovom području. Redoviti trening i edukacija o najnovijim sigurnosnim prijetnjama, kao i implementacija naprednih sigurnosnih rješenja, poput ponašajne analize i umjetne inteligencije za detekciju anomalija u mrežnom prometu, ključni su za obranu od sofisticiranih napada.
Na temu Sigurnosnih kontrola i tehnologija u kibernetičkoj sigurnosti na panelu su sudjelovali su Tamara Hađina, voditeljica istraživačkih projekata u Končaru; Boris Bajtl, potpredsjednik Hrvatskog instituta za kibernetičku sigurnost; Jurica Čular, stručnjak za informacijsku sigurnost iz Infobipa; Saša Jusić, viši konzultant za informacijsku sigurnost iz Infiga, i Sven Škrgatić, rukovoditelj korporativne sigurnosti u A1 Hrvatska.
“U postupku uvođenja metodologije kontrole rizika kibernetičke sigurnosti ljudi su najvažniji, potrebna im je edukacija, na općoj razini, da znaju prepoznati ugroze i na adekvatan način odgovoriti jer to nije intuitivno, zato je dobro da govorimo o ovoj temi i na današnjem eventu. Uredba je i prije nego je usvojena polučila je velik uspjeh jer se puno priča o kibernetičkoj sigurnosti što je svakako jedan od ciljeva“, kazao je Boris Bajtl, potpredsjednik Hrvatskog instituta za kibernetičku sigurnost.
“Uredbe i zakonodavni dokumenti često budu loše napisani, što s ovom Uredbom nije bio slučaj”, ocijenio je Jurica Čular iz Infobipa.
Treća panel rasprava pod nazivom “Tko nas kontrolira: Izazovi i prilike za žene u kibernetičkoj sigurnosti” fokusirala se na ulogu žena svijetu IT-a i kibernetičke sigurnosti. Pod moderatorstvom Martine Dragičević iz kompanije A1, o poziciji žena u ovom izazovnom sektoru raspravljale su stručnjakinje za upravljanje sigurnošću poduzeća, ali i klijenata: Vlatka Jajetić, voditeljica Službe za obradu kibernetičkih incidenata i upravljanje sigurnošću, CARNET/Nacionalni CERT; Marija Portner Marinković, predstavnica Ureda Vijeća za nacionalnu sigurnost iz SOA; Antonija Vojnović, voditeljica InfoSec tima iz Spana i Blanka Zubelj, direktorica sigurnosti u RBA.
Kibernetička sigurnost predstavlja jednu od specifičnih i vrlo bitnih grana unutar STEM područja koje je prepoznato generalno kao područje u kojem je također potrebno poticati žene od najranije dobi da se njime bave i da se u njemu razvijaju. Prema riječima panelistica, prije deset godina jako mali broj žena je bio zastupljen u ovom području ali, na sreću, vide se pomaci i zainteresiranost žena za ovo vrlo zanimljivo i dinamično STEM područje raste.
Kibernetičkih napada je sve više, a da bi se oni spriječili, nije dovoljno samo ulaganje u tehnologiju, već i u ljude koji će tu tehnologiju koristiti te s obzirom na značajan manjak IT stručnjaka u zemlji, rješenje koje će polučiti najviše rezultata je u dodatnoj edukaciji postojećih IT specijalista te njihovoj prekvalifikaciji u područje kibernetičke sigurnosti – zaključeno je i na ovogodišnjoj konferenciji.